どんな企業でも狙われるWebサイト改ざん 攻撃手口と対策を実例で解説

IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2017」では、組織における脅威の6位に「Webサイトの改ざん」が入っていました。現在も、企業・組織のWebサイトが改ざんされたというニュースは時折大きく報じられます。Webサイトの改ざんはどのような企業でもターゲットになり得ます。その被害の内容や手口、どう対策すればいいのかを解説します。

Webサイト改ざんとは

Webサイト改ざんとは、Webページのコンテンツを書き換えたり、不正プログラムを組み込んだりする攻撃のことです。2000年には、官庁のホームページが相次いで改ざんされ、ニュースになりました。その後も、自治体や大手企業、学校などのホームページが改ざんされるなど被害を受けています。具体的な内容を、実例で紹介しましょう。

例1:意図しない広告が表示される、別サイトのリンクが埋め込まれる

自社サイトでスパムサイトを表示するように書き換えられてしまう被害です。例えば、海外のアダルトサイトの広告が表示されるなどの被害が想定されます。これは広告を表示することで利益を得ようとする攻撃者の仕業と考えられます。改ざんされるとセキュリティに対する取り組みが甘いと宣伝してしまうようなものです。また、公序良俗に反する画像がトップページに表示されれば自社のイメージを損なうことにもなります。

例2:テロ組織を名乗る攻撃者によるページの書き換え

金銭目的以外に、テロ組織を名乗る攻撃者によって、Webサイトが書き換えられるといった事例もあります。例1と同様、自社の信用を失う可能性があります。

例3:スパム送信の踏み台になる

例1や例2は、改ざんされたことが一目瞭然で、自分たちでもすぐに気がつきますが、見た目には分からない改ざんもあります。一つは、迷惑メールの踏み台にされるという事例です。自社では設定していないにもかかわらず、自社のアカウントから大量の迷惑メールが発信されてしまうという事例が発生しています。

例4:ウイルスを埋め込んで閲覧した人を感染させる

例3と同様に、見た目には分かりにくい改ざんとして、Webサイトにウイルスやマルウェアを埋め込まれてしまうというものもあります。その結果、自社サイトを閲覧した第三者がウイルス/マルウェアに感染してしまうというものです。中には、コンピュータのデータを暗号化して身代金を要求するランサムウェアを感染させる事例もあります。

以上のように、Webサイトが改ざんされると、被害者であると同時に加害者になってしまう可能性もあります。また、被害は金銭的なものだけでなく信用も失うことになります。一度失った信用を取り戻すのは大変なので、Webサイトでのセキュリティは非常に重      要なものだと認識する必要があります。

Webサイト改ざんの経路と対策

Webサイト改ざんは、ある目的を持って特定の団体や企業を攻撃する場合と、無差別に情報セキュリティ対策の甘いWebサイトを狙う場合があります。つまり、セキュリティ対策を怠っていれば、どのようなWebサイトでも被害に遭う可能性があるということです。

広告を表示して利益を得たい攻撃者や、ウイルスを多くの人に感染させたい攻撃者にとっては、閲覧者が多いサイトほど標的になりやすいと言えます。Webサイトを改ざんするための攻撃経路は、主に3つです。それぞれについて、対策を紹介します。

経路1:脆弱性をついた攻撃

脆弱性とは、不具合を引き起こすプログラム上のミスです。プログラムのコーディングでミスをゼロにすることは事実上不可能で、中にはセキュリティの問題を引き起こすものもあります。特にWebサイトは、プログラムの改修が多いなど脆弱性リスクが高く、それだけ改ざんの被害が出やすいと言えます。

プログラムの開発者側では、脆弱性が見つかればそれを修正する追加プログラム(セキュリティパッチ)をリリースしますので、対策としてはその適用を怠らないということが第一です。また、複雑な動作をさせるシステムでは脆弱性が発生するポイントが多くなるので、シンプルな構成や静的なサイトにするというのも一つの方法です。

経路2:管理者PC経由の攻撃

じつは、管理者PCからの改ざんも少なくありません。管理者のIDとパスワードが漏えいしてしまえば、正規のルートでログインしてWebサイトが改ざんされてしまうということです。

管理者アカウントのIDとパスワードは誰にも言うわけがないと思っていても、他のシステムと同じID/パスワードを使っていたら、そちらから漏えいしてしまうこともあります。このため、対策としては管理者アカウントのID/パスワードの管理を厳重にすると同時に、複数のWebサイトで同じ(似ている)ID/パスワードを使わないということも重要になります。

また、USBメモリなどのメディア経由でウイルスに感染し、ID/パスワードを奪取されるというケースもあります。これについては、不用意にメディアを接続しないといった注意が必要です。いずれにしろ、管理者PCに余計な画像やゲームを取り込もうとするのはやめましょう。

経路3:パスワードリスト攻撃、ディクショナリーアタック

攻撃者がターゲットを定めている場合は、管理者アカウントのID/パスワードを知るためにパスワードリスト攻撃やディクショナリーアタックといった攻撃を仕掛けることもあります。 パスワードリスト攻撃とは、攻撃対象とは別のWebサイト(例えば無料メールサービスやブログサービスなど)から漏えいしたアカウント情報を使って、不正ログインを試みる攻撃です。また、ディクショナリーアタックとは、パスワードを調べるために辞書にある単語をしらみつぶしに試してみる攻撃のことです。

ターゲットになっても改ざんをさせないためには、ID/パスワードを使い回さない、推測されやすいパスワードを使わないといった点に気を付ける必要があります。

いずれにしろ、Webサイトを改ざんされないためには、セキュリティの意識を高く持ち、プログラムのアップデートや管理者アカウントの管理、管理用PCの扱いを適正に行う必要があります。さらに、常にセキュリティ関連の情報に気を配っておくことも重要です。

攻撃手法と対策

最後に、Webサイト改ざんに関係する技術的なキーワードについていくつか紹介しておきます。対処が必要なのはサイト設計をするエンジニアですが、Web担当者やマーケターでも、知っておけばパートナー企業やツールの選定の際のヒントとして活用できます。

  • SQLインジェクション
    SQLとは、リレーショナルデータベース管理システムのソフトウェアを操作・定義するためのデータベース言語です。このSQLを悪用して、データベース内の情報を不正に操作する攻撃をSQLインジェクションといいます。これを防ぐには、「不正な入力値の処理は無効にする」「攻撃のヒントを与えないためにエラーメッセージは表示しない」などの対策が必要です。
  • クロスサイトスクリプティング
    HTMLやCSSに不正スクリプトを組み込む攻撃を、クロスサイトスクリプティングといいます。不正スクリプトが組み込まれると、特定のリンクをクリックしたユーザーが外部の悪意あるWebページに誘導されてしまいます。そこでフィッシング詐欺やマルウェア感染などが発生します。対策としては、組み込まれた不正スクリプトの実行を無効にするためのサニタイジング(入力値制限や置換による無害化)があります。また、WAF(ウェブアプリケーションファイアウォール)などのセキュリティ対策を導入するのも有効です。
  • ゼロデイアタック
    ゼロデイアタックとは、脆弱性が発見されてから対策用のセキュリティパッチがリリースされるまでの間に攻撃することを指します。脆弱性がある状態の現状ではすぐに防ぐことはできないため、WAFのような仕組みで改ざんを検知し、防御する必要があります。
  • 標的型攻撃
    何かの理由で自社がターゲットになった場合、攻撃者はあらゆる方法で改ざんのための不正ログインを試みます。パスワードリスト、ディクショナリーアタックの他に、電子メールを使ってPC内の情報を抜き取ることもあります。攻撃用リンクをクリックさせるだけでなく、メールを開いただけで感染するウイルスもあるので、不審なメールは開かないように組織内で徹底する必要があります。

経済的損失・信用失墜を防ぐための対策を

どのような企業のWebサイトでも、改ざんのターゲットになり得ます。改ざんされると、金銭的な被害だけでなく信用も失います。多くの場合は脆弱性や、人のセキュリティ意識の盲点などを利用して攻撃してきます。ソフトウェアは常にアップデートし、企業全体でセキュリティ対策の重要性を認識できるよう心がけましょう。